EC Karten fälschen? Wie geht das und das innerhlab 10 Minuten? nieeemals

[neger187]

die karte speichert die informationen an sich nicht, sondern einen hash-code, der aus information, wie pin-nummer, name usw. erstellt wird.

[Legamir]

Kann definitiv sagen das bei PIN immer eine Verbindung zu Bank aufgebaut wird.
War schön bei Aldi einkaufen, steh an der Kasse und will mit Karte zahlen, Leitung tot... echt geil wenn man dann kein Bargeld dabei hat
Bei Pineingabe wird das Geld auch immer sofort vom Konto abgezogen.
Bei Unterschrift immer erst ein paar Tage später und es spielt auch keine Rolle ob Geld auf dem Konto ist oder nicht, ist eine ganz normale Lastschrift.

[cOlz.de]

Also,

beim EC-Cash Offline Verfahren wird definitiv über den Chip autorisiert. Was dort oben von Wikipedia steht, stimmt somit. Ich habe eben noch weiter danach geschaut. Der Kartenleser geht nur noch in bestimmten Ausnahmefällen online.

Trotzdem stellt sich mir weiterhin die Frage, wie die PIN geprüft wird, wenn das Verfahren offline arbeitet. Dazu habe ich noch nichts gefunden, werde aber mal weitersuchen. Denn eine Zahlungsgarantie gibt es hier auch.

Cu MCInky

EC-Cash Offline = chip mit geld aufladen? =keine pin abfrage
ich bin den thread leid. 10 leute die alle das gleiche, richtige posten und du hast es immernoch nicht verstanden?

[GameCat]

Ja ne ist klar.
Erkundige dich erstmal ein wenig über die EC-Cash Verfahren und dann darfst du hier weiter posten. Ich rede nicht vom Geldkarten System sondern vom EC-Cash Offline System. Da du das anscheinend gar nicht gerafft hast, disqualifizierst du dich selber.

Macht aber nix. Lass dir das von nem Bankkaufmann mal ruhig sagen.

Cu MCInky

[cOlz.de]

bankkaufmann vs. bürokaufmann teil 2:

Der elektronische Zahlungsverkehr bietet verschiedene Zahlungsverfahren für die abzurechnenden Karten.

ELV Elektronisches Lastschriftverfahren ohne Sperrabfrage
PoZ Point of Sale ohne Zahlungsgarantie
ec-Cash online ec-Cash Abwicklung mit PIN Nummer des Kunden mit online Autorisierung
(persönliche Identifikationsnummer = Geheimzahl)
ec-Cash offline ec-Cash Abwicklung mit PIN Nummer des Kunden offline Autorisierung
(Autorisierung erfolgt direkt mit dem Chip auf der ec-Karte)
Kreditkarte online online Autorisierung der Kreditkarte bei dem Karteninstitut
Kreditkarte offline offline Autorisierung der Kreditkarte bei dem Karteninstitut

EMV Standard zur sicheren Kreditkartenabwicklung mit Chip
(EuroCard/Mastercard/Visa)
OPT Online Personalisiertes Terminal (dynamische ec-Cash Schlüssel)

http://www.globalgsd.com/zahlungsverkehr.htm

UND

Mal abgesehen davon, daß es keine EC-Karten mehr gibt, beinhaltet der
Chip auf diesen Bank-Kundenkarten i.d.R. neben der Geldkartenapplikation
auch die Anwendung 'electronic cash Chip', bei der electronic cash
Zahlungen mit PIN offline durchgeführt werden können. Der Chip kennt
also die PIN, und könnte eine mögliche Schwachstelle sein. Es gibt
Anzeichen, daß mysteriöse Betrugsfälle gehäuft bei einer bestimmten
Bankengruppe auftreten, was zu dieser Theorie passen würde.

http://www.gerechtigkeit.info/viewto...9c708dfa2590af

anderes forum. gleiches thema.
bankkaufmann won !

*edit:
ich kann absolut keine informationen über das system bei ec-cash-offline aka PIN-offline finden. sehr sehr seltsam. in der theorie könnte ich mir das wie bei truecrypt vorstellen. das pw aka PIN ist nirgends gespeichert, aber nur die richtige führt zu korrekten daten. um die daten dann aber zu entschlüsseln scheint mir so ein kleines lese-/eingabegerät aber nicht fahig. auch wäre der chip damit hackbar, da es wohl keinen schutzmechanismus bei falschen eingaben gibt. das führt dann wieder zu dem hier:

Ein 4-stelliger PIN-Code
ermöglicht theoretisch 10.000 mögliche Ziffernkombinationen. An den
Geldautomaten wird aber erst nach drei Fehlversuchen die Karte eingezogen. Die
Wahrscheinlichkeit, die PIN zu erraten liegt daher theoretisch bei 1:3.333.

http://edvgt.jura.uni-sb.de/Tagung04...le/speiser.pdf

[GameCat]

Das einzige was ich andauernd lese ist, dass beim Offline-Verfahren (auch EC-Cash Chip genannt), ein Verfügungsrahmen auf dem Chip gespeichert wird.
Nur einmal habe ich auch gelesen, dass auch die PIN über den Chip geprüft wird. Das Gerät geht definitiv nicht online. Wo ist also die Pin... hm?

Ich werde morgen bei uns in der entsprechenden Abteilung nachfragen. Die Jungs machen den ganzen Tag nix anderes, irgendwer wird mir darüber schon detailliert Auskunft geben können.

Cu MCInky

[MikeBl]

Bargeld abheben offline geht an einigen Automaten im Ausland noch, in Deutschland definitiv nur noch online.
Beim Offline Verfahren wird immer Pin benötigt, hat aber alles nichts mit dem Chip auf der Karte zu tun,der ist nur da um sein Geld bis zu 400, - € auf den Chip zu laden.
Der Pin ist nicht auf der Karte enthalten, wird aber aus den Daten der Magnetspur (wie Kontonummer, Bakleitzahl, Ablaufdatum (gibbet Programme dazu, welche genau aufdrösseln, was die 99 Zahlen auf der Magnetspur zu bedeuten hat) mithilfe internen Programms im Automaten mit zugehörigen (glaube 56 Bit) DES Bankenschlüssel eine sogenannte Transaktionsnummer (nicht zu verwechseln mit der TAN beim Online-Banking)generiert, wobei die 4 mittleren Zahlen von diesem Code die Pin ergebn, welche mit dem eingegebenen verglichen wird und je nach dem ob richtig oder falsch, Geld ausspuckt.
Gab früher vor Jahren mal eine Seite, die nannte sich Pin-Projekt, da war alles bestens beschrieben.

[GameCat]

Ich hab den ganzen Thread noch nicht einmal von Barabhebungen geredet, sondern vom Bezahlen mit der Bankkarte mittels EC-Cash (hier EC-Cash Pin) Verfahren. Der Chip auf der Bankkarte kann mehr als nur das popelige Geldkartensystem was jetzt ja jeder von den Zigarettenautomaten kennt.

Cu MCInky

[kartenmensch]

Hallo Leute,

ich bin verantwortlich für das Kartengeschäft einer mittelständischen Bank und hoffe, die eine oder andere Frage beantworten zu können. Wir reden über bezahlen mit sog. Debitkarten (SparkassenCard, VR-Card oder andere "ehem." ec-Karten) an der Kasse (POS-Zahlungen).

Bei POS-Zahlungen (Point-of-Sale => das ist die Kasse!) wird zwischen zwei Verfahren unterschieden:

(1) ELV - Elektronisches Lastschriftverfahren

Bei diesem Verfahren liest das Terminal nur die Konto-Nr. und die BLZ von der Karte. Der Betrag wird anschließend per herkömmlicher Lastschrift (also wie die Telefonrechnung) vom Konto abgebucht. Hierfür entrichtet der Händler nichts an die Kreditwirtschaft. Daraus ergibt sich folgende Konsequenz:

Der Händler hat keine Zahlungsgarantie, da die Karte nicht geprüft wird: Weder gegen die Sperrdatei der Banken noch darauf, ob das Konto für den Betrag gut ist. Außerdem kann nicht sichergestellt werden, dass der Verfügende dazu auch wirklich berechtigt ist. Aus Sicht des belasteten Kontoinhabers sieht das so aus: Er kann die Lastschrift ohne Angaben von Gründen bei seiner Bank zurückbuchen lassen. Daneben gibt es noch Regelungen zur Preisgabe von Adressdaten etc. Das hat aber nichts mit dem Inhalt des Magnetstreifens oder Chips zu tun, daher findet das hier keine Beachtung.

(2) electronic cash

Das ist das von der Kreditwirtschaft betriebene "offizielle" Verfahren, bei dem der Händler eine Zahlungsgarantie erhält, er im Gegenzug ein Entgelt bezahlt und natürlich auch diverse Prüfungen sowie die Eingabe der PIN durch den Karteninhaber erfolgen.

Auch hier gibt es wieder zwei unterschiedliche Systeme:

- electronic cash vom Magnetstreifen (auch manchmal ecCash online genannt). Dieses ältere Verfahren arbeitet mit dem altbekannten Magnetstreifen. Auf diesem Streifen sind, wie bereits genannt, Informationen zur Karte wie z.B. KontoNr, BLZ, Kartenfolgenummer, Freizügigkeitsschlüssel etc. gespeichert. Das Kartenterminal baut während des Bezahlvorangs eine online-Verbindung auf. Die Gültigkeit der PIN wird durch die Bank geprüft -genau wie die Kontodeckungs- und Sperrprüfung. Die PIN steht selbstverständlich NICHT auf dem Magnetstreifen. Die gängigen Terminals bauen übrigens analoge oder digitale Telefon-Leitungen auf. TCP/IP-Verbindungen sind zwar im Kommen, derzeit aber noch eher selten.

- electronic cash vom Chip (ecCash offline). Hierbei handelt es sich um eine Weiterentwicklung, die auf die neuere Chip-Technologie setzt. Ähnliche (wenn auch nicht gleiche) Entwicklungen sind bei Kreditkarten zu erkennen (=> EMV). Der Unterschied zwischen einem Chip und einem Magnetstreifen ist, dass der Chip mit einem kleinen Computer zu vergleichen ist, der Magnetstreifen jedoch lediglich ein "dummer" Datenträger ist. Das heißt konkret: Der Chip hat eine eigene Intelligenz und kann eigene Operationen durchführen, während der Magnetstreifen lediglich Informationen speichern kann. Bei ecCash-Chip wird dies in der Form genutzt, dass tatsächlich die PIN vom Chip geprüft wird. Wichtig ist jedoch: Die PIN verlässt niemals den Chip!! Der anfragte Betrag sowie die eingegebene PIN wird vom Terminal an den Chip weitergeleitet. Dieser führt die Prüfung durch und gibt ggf. sein OK. Um ein unendlich häufiges Testen zu unterbinden, hat der Chip einen eigenen Fehlbedienungszähler, der nach drei falschen Eingaben die Funktion sperrt.

Fazit: Der Händler erhält eine Zahlungsgarantie (auch bei Chip-Zahlungen), die Prüfung der PIN erfolgt jedoch nur offline. Ist das nicht ein zu hohes Risiko für die Bank ? - Es erfolgt mithin keine Prüfung der Sperrdatei oder des Kontensaldos. Um dieses Risiko zu managen, gibt es auf dem Chip ein Offline-Limit, das jeweils um den angefragten Betrag reduziert wird. Reicht es nicht mehr aus, geht das Terminal online und füllt das Offline-Limit wieder auf. Dabei wird natürlich auch die Sperrdatei geprüft. Außerdem wird per Zufall entscheiden, dass auch übrige Zahlungen hin und wieder einmal online autorisiert werden. Das Restrisiko trägt der Kartenausgeber.

Nur zur Info: Das PINs präzsie errechnet werden, ist schlicht unmöglich. Einige wenige Experten streiten sich lediglich darum, ob die MÖglichkeiten auf so wenig Hundert Varianten reduziert werden könnte, das eine Zufallseingabe richtig sein könnte. Höchstrichterliche Urteile haben (trotz hohem Rang der Verbraucherschutzrechts) bisher die PIN als Anscheinsbeweiß immer wieder bestätigt (Hinweis: Richtig, beim Alten PIN-Verfahren gab es Ende der neunziger mal richterliche Kritik, daraufhin wurde das System geändert!). Gäbe es die Möglichkeit die PIN zu berechnen, so gäbe es wohl kaum noch diese aufwändigen Auspähvorrichtungen !!

Recht langes Posting - das ist hoffentlich nicht so schlimm !!

[kartenmensch]

Nachtrag zu GAA-Verfügungen im Ausland:

Eine Verfügung im Ausland ist nur möglich, wenn der Automat eine Verbindung zur deutschen Autorisierungsstelle herstellen kann, von der dann auch die PIN geprüft wird. Eine "offline"-Auszahlung ohne Verbindung nach Deutschland ist nicht zulässig!

[cOlz.de]

danke für die informationen!

damit wären all meine fragen geklärt

[daniel911]

Hallo Leute,

ich bin verantwortlich für das Kartengeschäft einer mittelständischen Bank und hoffe, die eine oder andere Frage beantworten zu können. Wir reden über bezahlen mit sog. Debitkarten (SparkassenCard, VR-Card oder andere "ehem." ec-Karten) an der Kasse (POS-Zahlungen).

Bei POS-Zahlungen (Point-of-Sale => das ist die Kasse!) wird zwischen zwei Verfahren unterschieden:

(1) ELV - Elektronisches Lastschriftverfahren

Bei diesem Verfahren liest das Terminal nur die Konto-Nr. und die BLZ von der Karte. Der Betrag wird anschließend per herkömmlicher Lastschrift (also wie die Telefonrechnung) vom Konto abgebucht. Hierfür entrichtet der Händler nichts an die Kreditwirtschaft. Daraus ergibt sich folgende Konsequenz:

Der Händler hat keine Zahlungsgarantie, da die Karte nicht geprüft wird: Weder gegen die Sperrdatei der Banken noch darauf, ob das Konto für den Betrag gut ist. Außerdem kann nicht sichergestellt werden, dass der Verfügende dazu auch wirklich berechtigt ist. Aus Sicht des belasteten Kontoinhabers sieht das so aus: Er kann die Lastschrift ohne Angaben von Gründen bei seiner Bank zurückbuchen lassen. Daneben gibt es noch Regelungen zur Preisgabe von Adressdaten etc. Das hat aber nichts mit dem Inhalt des Magnetstreifens oder Chips zu tun, daher findet das hier keine Beachtung.

(2) electronic cash

Das ist das von der Kreditwirtschaft betriebene "offizielle" Verfahren, bei dem der Händler eine Zahlungsgarantie erhält, er im Gegenzug ein Entgelt bezahlt und natürlich auch diverse Prüfungen sowie die Eingabe der PIN durch den Karteninhaber erfolgen.

Auch hier gibt es wieder zwei unterschiedliche Systeme:

- electronic cash vom Magnetstreifen (auch manchmal ecCash online genannt). Dieses ältere Verfahren arbeitet mit dem altbekannten Magnetstreifen. Auf diesem Streifen sind, wie bereits genannt, Informationen zur Karte wie z.B. KontoNr, BLZ, Kartenfolgenummer, Freizügigkeitsschlüssel etc. gespeichert. Das Kartenterminal baut während des Bezahlvorangs eine online-Verbindung auf. Die Gültigkeit der PIN wird durch die Bank geprüft -genau wie die Kontodeckungs- und Sperrprüfung. Die PIN steht selbstverständlich NICHT auf dem Magnetstreifen. Die gängigen Terminals bauen übrigens analoge oder digitale Telefon-Leitungen auf. TCP/IP-Verbindungen sind zwar im Kommen, derzeit aber noch eher selten.

- electronic cash vom Chip (ecCash offline). Hierbei handelt es sich um eine Weiterentwicklung, die auf die neuere Chip-Technologie setzt. Ähnliche (wenn auch nicht gleiche) Entwicklungen sind bei Kreditkarten zu erkennen (=> EMV). Der Unterschied zwischen einem Chip und einem Magnetstreifen ist, dass der Chip mit einem kleinen Computer zu vergleichen ist, der Magnetstreifen jedoch lediglich ein "dummer" Datenträger ist. Das heißt konkret: Der Chip hat eine eigene Intelligenz und kann eigene Operationen durchführen, während der Magnetstreifen lediglich Informationen speichern kann. Bei ecCash-Chip wird dies in der Form genutzt, dass tatsächlich die PIN vom Chip geprüft wird. Wichtig ist jedoch: Die PIN verlässt niemals den Chip!! Der anfragte Betrag sowie die eingegebene PIN wird vom Terminal an den Chip weitergeleitet. Dieser führt die Prüfung durch und gibt ggf. sein OK. Um ein unendlich häufiges Testen zu unterbinden, hat der Chip einen eigenen Fehlbedienungszähler, der nach drei falschen Eingaben die Funktion sperrt.

Fazit: Der Händler erhält eine Zahlungsgarantie (auch bei Chip-Zahlungen), die Prüfung der PIN erfolgt jedoch nur offline. Ist das nicht ein zu hohes Risiko für die Bank ? - Es erfolgt mithin keine Prüfung der Sperrdatei oder des Kontensaldos. Um dieses Risiko zu managen, gibt es auf dem Chip ein Offline-Limit, das jeweils um den angefragten Betrag reduziert wird. Reicht es nicht mehr aus, geht das Terminal online und füllt das Offline-Limit wieder auf. Dabei wird natürlich auch die Sperrdatei geprüft. Außerdem wird per Zufall entscheiden, dass auch übrige Zahlungen hin und wieder einmal online autorisiert werden. Das Restrisiko trägt der Kartenausgeber.

Nur zur Info: Das PINs präzsie errechnet werden, ist schlicht unmöglich. Einige wenige Experten streiten sich lediglich darum, ob die MÖglichkeiten auf so wenig Hundert Varianten reduziert werden könnte, das eine Zufallseingabe richtig sein könnte. Höchstrichterliche Urteile haben (trotz hohem Rang der Verbraucherschutzrechts) bisher die PIN als Anscheinsbeweiß immer wieder bestätigt (Hinweis: Richtig, beim Alten PIN-Verfahren gab es Ende der neunziger mal richterliche Kritik, daraufhin wurde das System geändert!). Gäbe es die Möglichkeit die PIN zu berechnen, so gäbe es wohl kaum noch diese aufwändigen Auspähvorrichtungen !!

Recht langes Posting - das ist hoffentlich nicht so schlimm !!

Hallo


Und welche Freizügigkeitsschlüssel gibt es kennen sie ein paar und was heissen sie.

Danke

[Lokalrunde]

Ich wüsste nicht, wozu Du diese Information benötigen solltest. Alles Wesentliche wurde hier bereits vor vier Jahren gesagt.

Geschlossen.